NCSC introduceert Wall of Fame voor securityonderzoekers met beste cvd-meldingen

Het Nederlandse Nationaal Cyber Security Centrum heeft een Wall of Fame gepubliceerd waarin cybersecurityonderzoekers die het afgelopen jaar kwamen met de beste responsibledisclosuremeldingen in het zonnetje worden gezet.

Volgens het NCSC zijn er in 2022 meer dan 2500 cvd-meldingen bij de Rijksoverheid binnengekomen, waaruit nu de zes cybersecurityonderzoekers met 'de beste meldingen' zijn geselecteerd: Chester van den Bogaard, Ibrahim Durmus, Ivan Iushkevich, Kenny Hietbrink, Oussama Kasmi en Ramon Dunker. Ook de organisatie Dutch Institute of Vulnerability Disclosure is opgenomen in de erehal.

Voor de selectie is gelet op drie kwaliteitseisen. Ten eerste moest de betreffende melding 'een grote impact hebben gehad op de digitale veiligheid van Nederland'. Ook moest de kwaliteit van de rapportage in de melding goed zijn, en indien de onderzoeker meerdere meldingen deed, moest het percentage 'goede en kwalitatieve meldingen hoog zijn', aldus de NCSC. Dit is de eerste keer dat de cybersecurityorganisatie een wall of fame publiceert, maar de bedoeling is dat deze vanaf nu ieder jaar terugkeert.

Responsibledisclosuremeldingen, of Coordinated Vulnerability Disclosure-meldingen, worden vaak door ethische hackers gedaan. Deze houden in dat wanneer zij in een systeem een kwetsbaarheid vinden, ze dit eerst melden aan de betreffende organisatie. Zo heeft deze de tijd om de bug op te lossen, voordat iemand met kwaadaardige intenties dezelfde kwetsbaarheid ontdekt en mogelijk veel schade berokkent.

Door Kevin Krikhaar

Redacteur

Feedback • 28-01-2023 12:12
14 • submitter: neonite

28-01-2023 • 12:12

14

Submitter: neonite

Lees meer

Overheid NL komt met centraal loket voor melden cyberaanvallen en kwetsbaarheden
Overheid NL komt met centraal loket voor melden cyberaanvallen en kwetsbaarheden Nieuws van 3 oktober 2023
NCSC en TNO maken toolkit om cybersecurityrisico's te kunnen schatten
NCSC en TNO maken toolkit om cybersecurityrisico's te kunnen schatten Nieuws van 20 april 2023
NCSC waarschuwt voor kwetsbaarheid in KeePass die ontwikkelaar niet wil dichten
NCSC waarschuwt voor kwetsbaarheid in KeePass die ontwikkelaar niet wil dichten Nieuws van 26 januari 2023
NCSC mag CVE-nummers toekennen aan kwetsbaarheden
NCSC mag CVE-nummers toekennen aan kwetsbaarheden Nieuws van 21 juli 2022
Nederlands kabinet wil dat NCSC dreigingsinformatie breder mag delen
Nederlands kabinet wil dat NCSC dreigingsinformatie breder mag delen Nieuws van 22 april 2022
NCSC waarschuwt voor ernstige remote code execution-bug in Java Spring Framework
NCSC waarschuwt voor ernstige remote code execution-bug in Java Spring Framework Nieuws van 31 maart 2022
Meer producten en artikelen
Networking en security NCSC responsible disclosure

Reacties (14)

-Moderatie-faq
14
13
7
1
0
0
Wijzig sortering
CAPSLOCK2000
28 januari 2023 13:05
Voor wie niet bekend is met dit fenomeen lijkt het misschien een beetje karig en kinderachtig om zo'n hall of fame te hebben als beloning voor moeilijk en gespecialiseerd werk maar geloof me dat er veel waarde aan wordt gehecht in deze community.

Security is een enorm lastig gebied waarin er weinig goede opleidingen, diploma's of certificaten zijn die echt iets zeggen over iemands technische vaardigheden. Zo'n Hall of Fame is een manier om een CV op te bouwen waarmee je een goede baan kan krijgen als security research.

Met name de technische kant is erg lastig. Het hele gebied hangt daarom aan elkaar van juridische, procedurele en organisatorische metamaatregelen want die zijn wel makkelijk te controleren.

Dat is allemaal heel mooi en nuttig maar zegt uiteindelijk weinig over de kwaliteit van het product. De kans is groter dat je een goed product maakt als de werkomstandigheden goed zijn maar het is geen garantie. Alle procedures en voorschriften ten spijt kun je nog steeds bagger bouwen, al dan niet omkleed met juridische vaagheden, sla's en verbetertrajecten. Maar voor je iets kan verbeteren zal je eerst de fouten en zwakke plekken moeten vinden. Daarvoor heb je iemand nodig die aan alle ramen en deuren gaat rammelen om te kijken of ze wel echt op slot zijn.

Je hebt dus eigenlijk een professionele inbreker nodig en het is wel een beetje spannend om met zo iemand in zee te gaan als bedrijf. Nodig je niet een inbreker uit om je bedrijf leeg te komen halen? En kun je de resultaten vertrouwen? Als outsider moet je maar geloven dat een bepaald foutje exploitable is en voor een security risico zorgt.

Daar komt nog bij dat dit een zeer internationale markt is. Om dit werk te doen heb je niet veel meer nodig dan een laptop met internet. Mensen vanuit de hele wereld kunnen dus meedoen, het enige dat echt telt is kennis en vaardigheid. Om het echt goed te doen heb je ook nog een flinke dosis creativiteit nodig en het vermogen om wegen en ingangen te zien die niet voor de hand liggen.
Dat is ook een beetje het probleem, net als bij andere creatieve beroepen kun je wel de technische vaardigheden testen maar creativiteit is een stuk lastiger te beoordelen.

Al deze factoren samen maken dat dit soort Hall of Fame websites redelijk belangrijk zijn in de industrie. Voor velen is het de manier om hun kwaliteit te laten zien en vertrouwen op te bouwen.
Iblies @CAPSLOCK200028 januari 2023 17:03
Je hebt dus eigenlijk een professionele inbreker nodig en het is wel een beetje spannend om met zo iemand in zee te gaan als bedrijf.
Zijn geen inbrekers maar ruimen de rommel op waar je duizenden (miljoenen) euro’s voor hebt betaald 😄

Daarnaast vraag ik me wel af of je deze mensen met naam en toenaam zo publiekelijk bekend wilt maken, zo gauw die vaker terugkomt dan kun je ze juist averechts aanbiedingen doen en opbieden voor betere deals.
kodak
@Iblies28 januari 2023 18:45
Daarnaast vraag ik me wel af of je deze mensen met naam en toenaam zo publiekelijk bekend wilt maken
Dat lijkt me alleen met toestemming van de persoon gedaan te worden. Het is namelijk niet zomaar toegestaan om als bedrijf of andere organisatie persoonsgegevens van anderen publiek te maken.
zo gauw die vaker terugkomt dan kun je ze juist averechts aanbiedingen doen en opbieden voor betere deals.
Dat soort deals waren al mogelijk, dus dit zorgt niet zomaar voor meer van die pogingen. En een deal proberen te maken kan niet zomaar verbieden of voorkomen dat een persoon alsnog zelf onderzoek doet in vrijetijd. Daarbij, als iemand een deal zou accepteren om bijvoorbeeld liever meer geld te verdienen, dan zijn er kennelijk nog honderden meer onderzoekers die wel onderzoek doen. Die groep is wereldwijd en hoe dan ook constant in beweging met onderzoekers die stoppen of beginnen.
elmuerte @Iblies28 januari 2023 19:58
Ze ruimen geen rommel op, ze wijzen naar de "rommel".
Orangelights23 @CAPSLOCK200028 januari 2023 13:10
Goede reactie. Ik als CISO neem ook eerder OffSec personeel aan met een bewezen track record. Dit helpt hier enorm bij.
halfgaar 28 januari 2023 12:26
Nou is het niet helemaal hetzelfde, maar ik post toch even voor de geïnteresseerden: "CVEs are dead - long live CVEs".

Er zijn verschillende problemen met CVE's, waaronder dat onderzoekers ze op hun CV willen hebben en daarom ontstaan er veel ruis CVEs. Dingen waar de auteur van een pakket bijvoorbeeld sterk van mening is dat het aan de gebruiker ligt. Vervolgens heb je een "openstaande" CVE.

Nogmaals, het is niet hetzelfde als deze CVD's, maar ik heb wel twijfels bij deze prikkel.
kodak
@halfgaar28 januari 2023 13:47
Wat is nu je probleem? Het gaat hier toch om het waarderen van waardevolle Coordinated Vulnerability Disclosure en niet op waar jij kritiek op hebt?

Bij CVD gaat het in de praktijk vaak om melden, oplossen en een beloning. Maar de bedoeling is ook goed onderzoek, samenwerken, leren en anderen helpen verbeteren. De melders die het vooral om een beloning te doen is of snel een cve scoren met zo min mogelijk andere moeite gaan eerder die lijst dus niet halen lijkt me.
mtrx 28 januari 2023 19:01
Zeker! kudo’s op basis van talent - dat helpt zeker _/-\o_
CPV 28 januari 2023 20:03
@ Kevin Krikhaar:
een CVD zit niet in mijn lijst van dagelijkse woorden en misschien van meerderen.
Even een uitleg in het begin leest meteen lekkerder, ik moest hem eerst opzoeken.
Lisadr 28 januari 2023 14:31
Fijn om te zien dat er ook namen als Ibrahim en Oussama ertussen zitten. Persoonlijk heb ik slechte ervaringen met HR/recruitment die CV's met dat soort namen automatische weigerden!
Verwijderd @Lisadr28 januari 2023 14:41
Bizar dat dat anno 2023 nog steeds gebeurt.
Frame164 @Verwijderd28 januari 2023 15:18
Het is helaas wel vrij Nederlands. Als ik het bij mijn werkgever vergelijk met UK en Duitsland dan komen dit soort namen daar vaker voor dan hier. En kwalitatief maakt het helemaal niets uit natuurlijk wat voor familieachtergrond iemand heeft.
Sietse Vliegen @Frame16429 januari 2023 19:03
Ik ben tegen elke vorm van discriminatie, maar vraag me wel af in hoeverre dit werkelijk een *Nederlands* probleem is. Ik weet uit ervaring dat ik met mijn Nederlandse naam ook in Amerika en Australië lastiger aan de bak kom, ondanks dat ik er familie heb wonen en de taal vrijwel net zo goed spreek als NL.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq